vSphere 仮想マシンの暗号化を使用している環境で ESXi ホストのエラーが発生すると、その結果として出力されるコア ダンプは、ユーザーのデータを保護するために暗号化されます。vm-support パッケージに含まれるコア ダンプも暗号化されます。

注: コア ダンプには機密情報が含まれることがあります。コア ダンプを使用する際は、組織のデータ セキュリティおよびプライバシーに関するポリシーに従ってください。

ESXiホスト上のコア ダンプ

ESXi ホスト、ユーザー ワールド、または仮想マシンで障害が発生すると、コア ダンプが生成され、ホストは再起動します。ESXi ホストの暗号化モードが有効になっている場合、このコア ダンプは ESXi キー キャッシュ内にあるキーを使用して暗号化されます。(使用中のキー プロバイダによっては、外部キー サーバ、キー プロバイダ サービス、または vCenter Server からキーが取得されます)。背景情報については、vSphere 仮想マシンの暗号化で環境を保護する方法を参照してください。

ESXi ホストが暗号的な意味で「安全」なときにコア ダンプが生成されると、イベントが作成されます。このイベントにより、コア ダンプが発生したこと、および次の情報が示されます。ワールド名、発生時刻、コア ダンプの暗号化に使用されたキーの keyID、コア ダンプ ファイル名。イベントは、vCenter Server[タスクとイベント] のイベント ビューアで確認できます。

次の表に、各 vSphere リリースで使用される暗号化キーをコア ダンプの種類ごとに示します。

表 1. コア ダンプの暗号化キー
コア ダンプの種類 暗号化キー (ESXi 6.5) 暗号化キー(ESXi 6.7 以降)
ESXi カーネル ホスト キー ホスト キー
ユーザー ワールド (hostd) ホスト キー ホスト キー
暗号化された仮想マシン (VM) ホスト キー 仮想マシン キー
ESXiホストの再起動後に実行できることは、いくつかの要素によって決まります。
  • ほとんどの場合、キー プロバイダは再起動後にキーを ESXi ホストにプッシュすることを試行します。この操作が成功すると、vm-support パッケージを生成でき、コア ダンプを復号化または再暗号化できます。暗号化されたコア ダンプの復号または再暗号化を参照してください。
  • vCenter Serverから ESXi ホストに接続できない場合、キーを取得できる可能性があります。暗号化キーが使用できない問題の解決を参照してください。
  • ホストでカスタム キーを使用していた場合、そのキーが vCenter Server からホストにプッシュされたキーと異なると、コア ダンプを操作できません。カスタム キーの使用は避けてください。

コア ダンプと vm-support パッケージ

深刻なエラーが発生し、VMware テクニカル サポートに連絡すると、サポート担当者は通常、vm-support パッケージを生成するように要請します。このパッケージには、ログ ファイルのほか、コア ダンプなどの情報が含まれます。サポート担当者がログ ファイルやその他の情報を調べても問題を解決できない場合、コア ダンプを復号化して、必要な情報を参照できるようにすることを要請する可能性があります。キーなどの機密情報を保護するために、組織のセキュリティおよびプライバシー ポリシーを守ってください。暗号化を使用する ESXi ホストにある vm-support パッケージの収集を参照してください。

vCenter Serverシステム上のコア ダンプ

vCenter Serverシステム上のコア ダンプは、暗号化されていません。vCenter Serverにはすでに、機密である可能性のある情報が存在します。少なくとも、vCenter Server が保護されていることを確認します。vCenter Server システムのセキュリティを参照してください。また、vCenter Server システムのコア ダンプを無効にすることも考えられます。ログ ファイル内のその他の情報によって問題を解決できる可能性があります。

暗号化を使用する ESXi ホストにある vm-support パッケージの収集

ESXi ホストでホスト暗号化モードが有効になっている場合、vm-support パッケージのコア ダンプはすべて暗号化されます。vSphere Client からパッケージを収集し、後でコア ダンプを復号する必要がある場合は、パスワードを指定できます。

vm-support パッケージにはログ ファイルやコア ダンプ ファイルなどが含まれています。

前提条件

ESXi ホストでホスト暗号化モードが有効になっていることをサポート担当者に伝えてください。サポート担当者から、コア ダンプを復号して必要な情報を抽出するように依頼される場合がありますが、

注: コア ダンプには機密情報が含まれている可能性があります。組織のセキュリティ ポリシーおよびプライバシー ポリシーに従ってホスト キーなどの機密情報を保護してください。

手順

  1. vSphere Client を使用して、vCenter Server システムにログインします。
  2. [ホストおよびクラスタ] をクリックし、ESXi ホストを右クリックします。
  3. [システム ログのエクスポート] を選択します。
  4. ダイアログ ボックスで [暗号化されたコア ダンプ用のパスワード] を選択し、パスワードを入力して、確認のために再度パスワードを入力します。
  5. その他のオプションはデフォルトのままにしておきます。VMware テクニカル サポートから依頼された場合は、変更を加えて、[ログのエクスポート] をクリックします。
    ダウンロード前にファイルの保存先を尋ねるようにブラウザを構成していない場合は、ダウンロードが開始されます。ファイルの保存先を尋ねるようにブラウザを構成した場合は、ファイルの場所を指定します。
  6. vm-support パッケージ内のコア ダンプを復号するようにサポート担当者から依頼された場合は、いずれかの ESXi ホストにログインして次の手順に従います。
    1. ESXi ホストにログインし、vm-support パッケージが配置されているディレクトリに接続します。
      ファイル名は esx.<日時>.tgz という形式になっています。
    2. ディレクトリにパッケージを解凍できるだけの空き容量があることを確認し、パッケージを解凍し、パッケージを再圧縮するか移動します。
    3. パッケージをローカル ディレクトリに抽出します。
      vm-support -x *.tgz .
      抽出されたファイル階層には、 ESXi ホストのコア ダンプ ファイル(通常は /var/core にあります)と、仮想マシンの複数のコア ダンプ ファイルが含まれている場合があります。
    4. 暗号化されたコア ダンプ ファイルを個別に復号します。
      crypto-util envelope extract --offset 4096 --keyfile vm-support-incident-key-file 
      --password encryptedZdump decryptedZdump
      vm-support-incident-key-file の部分では、ディレクトリの最上位レベルにあるインシデント キー ファイルを指定します。

      encryptedZdump の部分では、暗号化されたコア ダンプ ファイルの名前を指定します。

      decryptedZdump の部分では、コマンド実行後に生成されるファイルの名前を指定します。encryptedZdump で指定するファイル名に似た名前を使用してください。

    5. vm-support パッケージの作成時に使用したパスワードを入力します。
    6. 暗号化されたコア ダンプを削除し、パッケージを再び圧縮します。
      vm-support --reconstruct 
  7. 機密情報を含むファイルがある場合は、それらのファイルも削除します。

暗号化されたコア ダンプの復号または再暗号化

ESXi ホスト上で暗号化されているコア ダンプは crypto-util CLI を使用して復号化または再暗号化できます。

vm-support パッケージに含まれるコア ダンプは手動で復号化できます。コア ダンプには機密情報が含まれることがあります。組織のセキュリティ ポリシーおよびプライバシー ポリシーに従って、キーなどの機密情報を保護してください。

コア ダンプの再暗号化と crypto-util のその他の機能の詳細については、コマンドライン ヘルプを参照してください。
注: crypto-util は上級ユーザー向けのコマンドです。

前提条件

コア ダンプの暗号化に使用されたキーが、コア ダンプを生成した ESXi ホストで使用可能であることが必要です。

手順

  1. コア ダンプが存在する ESXi ホストに直接ログインします。
    ESXi ホストがロックダウン モードになっている場合や、SSH アクセスが無効になっている場合は、最初にアクセスを有効にしなければならない場合があります。
  2. コア ダンプが暗号化されているかどうかを確認します。
    オプション 説明
    コア ダンプの監視
    crypto-util envelope describe vmmcores.ve
    zdump ファイル
    crypto-util envelope describe --offset 4096 zdumpFile 
  3. 種類に応じてコア ダンプを復号化します。
    オプション 説明
    コア ダンプの監視
    crypto-util envelope extract vmmcores.ve vmmcores
    zdump ファイル
    crypto-util envelope extract --offset 4096 zdumpEncrypted zdumpUnencrypted